Attacco informatico: tutti quanti ormai, purtroppo, abbiamo imparato a intuire che cosa possano significare queste due parole. Troppo spesso i media ci raccontano di azioni clamorose da parte degli hacker, che non risparmiano neppure organizzazioni in apparenza inattaccabili. Magari persino noi siamo stati vittima di attacchi informatici, più o meno consapevolmente. Ma che cos’è esattamente un attacco informatico? Quali sono gli attacchi informatici più comuni? E, soprattutto, come è possibile proteggersi in maniera adeguata?
Cos’è un attacco informatico
Andiamo con ordine, innanzitutto, cercando di trovare una definizione che aiuti a sgombrare il campo da possibili equivoci. Un attacco informatico può essere definito come un tentativo malevolo e intenzionale da parte di un individuo o di un’organizzazione di violare il sistema informativo di un altro individuo o azienda. Normalmente i cybercriminali violano i sistemi informatici della vittima per ottenere qualche tipo di vantaggio economico, di tipo diretto o indiretto (ad esempio trafugare dati personali da rivendere sul Dark Web). Ormai poco diffusi sono invece gli attacchi informatici per scopi dimostrativi e politici, mentre invece sono in forte crescita – ma meritano una trattazione a parte – quelli condotti da gruppi legati a specifici Stati, che conducono in questo modo delle vere e proprie guerre informatiche.
Concentrandoci sugli attacchi informatici per motivi economici, occorre sfatare un luogo comune: non soltanto le grandi organizzazioni possono essere colpite da un attacco informatico. Sicuramente è vero che le imprese di maggiori dimensioni possono essere vittime di attacchi mirati, dal momento che la violazione dei loro sistemi informatici, probabilmente maggiormente protetti richiede più lavoro ma può anche portare – dal punto di vista dei cybercriminali – a buone possibilità di guadagno.
D’altra parte, quello che caratterizza il mercato della sicurezza informatica in questo momento sono gli attacchi condotti alla cieca dagli hacker, senza sapere dunque esattamente quali saranno le vittime finali. Grazie alla disponibilità di software malevoli a basso costo, il noto malware, gli hacker possono cercare di bucare sistemi operativi e applicazioni facendo leva sulla presenza di bug e vulnerabilità, nonché su comportamenti erronei da parte delle vittime inconsapevoli.
In ogni caso viviamo in un’era di accresciuta gravità delle minacce cyber: secondo l’ultimo rapporto del Clusit nel 2020 si è registrata una crescita del +12% dei cyber attacchi gravi, a evidenza di un trend persistente di aumento delle minacce, della loro gravità e dei danni conseguenti. Il report conferma che nessun settore può sentirsi realmente al sicuro dagli attacchi informatici: dalla sanità, alla finanza, passando per retail, trasporti, pubbliche amministrazioni, i dati personali e aziendali sono sempre più nel mirino del cybercrime.
Come avviene un attacco informatico
Quando hanno successo, gli attacchi informatici portano sempre a un Data Breach, ovvero alla violazione della sicurezza dei dati, mediante il loro furto, distruzione o perdita.
Ma come avviene un attacco informatico? È difficile rispondere in astratto a questa domanda, dal momento che esistono tantissime differenti tipologie di attacchi informatici, condotti e realizzati con metodi diversi. Nella maggioranza dei casi, però, gli attacchi informatici hanno qualcosa in comune, cioè il modo in cui riescono a bypassare le difese approntate dalle aziende o dagli stessi sviluppatori di software. Il più delle volte, la colpa è nostra, ovvero della mancata attenzione da parte degli utenti finali a delle regole basilari di sicurezza informatica, che consentono dunque agli attacchi informatici di andare a buon fine.
Il caso classico è quello di quando le persone cedono alla tentazione di cliccare su link dannosi contenuti nelle email, rendendo così possibile lo scaricamento di malware anche estremamente efficaci, come quelli appartenenti alle famiglie dei ransomware.
Oppure, le vittime possono essere ingannate dalla delle email di phishing (qui una guida completa sul tema), favorendo così la diffusione di dati aziendali e personali sensibili.
Altre volte, invece, gli attacchi informatici hanno successo perché la protezione stessa approntata da individui e organizzazioni è bassa se non inesistente: ad esempio, per pigrizia o imperizia, spesso si tendono a rimandare sine die gli aggiornamenti di sicurezza, esponendosi però così inevitabilmente all’azione degli attaccanti, che provano sempre a sfruttare la presenza di possibili vulnerabilità.
Paradossalmente, la nostra soglia dell’attenzione è ancora più bassa nel dispositivo elettronico che usiamo più spesso, ovvero il nostro cellulare: pochissimi proteggono gli smartphone con software di sicurezza appositi, che per questo motivo sono sempre più nel mirino del cybercrime.
Alla base degli attacchi informatici, insomma, c’è molto spesso un problema di adeguata formazione degli utenti finali, che anche le organizzazioni non di rado trascurano. L’applicazione del GDPR avrebbe dovuto portare a una maggiore consapevolezza sulla gestione della privacy e sulla sicurezza delle informazioni. Ma d’altra parte la rapidissima evoluzione degli attori, delle modalità, della pervasività e dell’efficacia degli attacchi non facilita il compito, lasciando diffusa la sensazione di una perenne insicurezza informatica, che può lascare spazio a una pericolosa rassegnazione.
Le tipologie di attacchi informatici più diffusi
Come abbiamo già scritto in precedenza, esistono tantissimi attacchi informatici, che hanno ormai una lunga storia alle spalle: quello che viene considerato il primo vero e proprio virus della storia, Brain-A, risale addirittura al 1986. Da lì in poi quantità di attacchi informatici è andata moltiplicandosi e nuove varianti vengono inventate ogni giorno dai gruppi di cybercriminali. In linea di massima, però, quelli che vediamo qui di seguito quali sono le principali tipologie di attacchi informatici oggi sfruttati dalle organizzazioni criminali di tutto il mondo.
.APT(Advanced Persistent Threat)
Si tratta di un attacco mirato, volto a installare una serie di malware all’interno delle reti bersaglio, al fine di riuscire a mantenere attivi i canali impiegati per la fuoriuscita di informazioni pregiate dalle infrastrutture IT del target.
Attacco DDOS
In questo caso abbiamo un attacco combinato di numerose macchine pensato per portare al collasso siti web o server di specifiche organizzazioni, la maggior parte delle volte condotto per mezzo di Botnet. Queste ultime sono una rete di computer utilizzata per condurre attacchi da remoto formata da computer infettati, anche se spesso appartenenti a persone inconsapevoli e gestiti a distanza.
Malware
Si tratta di un Software pirata inserito in un sistema informatico, generalmente in modo clandestino, con l’intenzione di compromettere la riservatezza, l’integrità o la disponibilità dei dati, delle applicazioni o dei sistemi operativi dell’obiettivo
Phishing
Rappresenta una peculiare tipologia di attacco informatico che ha l’obiettivo di carpire informazioni sensibili (userid, password, numeri di carte di credito, PIN) con l’invio di false email generiche a un numero indefinito di indirizzi. Tali email sono congegnate per convincere i destinatari ad aprire un allegato o ad accedere a siti web fake. Successivamente questi dati sono utilizzati dai cybercriminali per acquistare beni, trasferire somme di denaro oppure per effettuare ulteriori attacchi.
Ransomware
Si tratta al momento della tipologia di malware più nota, capace di criptare i file presenti sul computer della vittima, richiedendo il pagamento di un riscatto per la relativa decrittazione. I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo della posta elettronica.
Zero Day
Con questo termine si fa riferimento a quelle minacce informatiche che sfruttano le vulnerabilità di applicazioni software non ancora divulgate o per le quali non è ancora stata distribuita una patch. Gli attacchi zero-day sono considerati una minaccia molto grave dagli esperti, in quanto sfruttano falle di sicurezza per le quali non è disponibile alcuna protezione.
Account Cracking
È la violazione dei sistemi informatici collegati ad internet o ad un’altra rete, allo scopo di danneggiarli, di rubare informazioni oppure di sfruttare i servizi telematici di un’organizzazione (connessione ad Internet, traffico voce, sms, accesso a database, ecc.) senza autorizzazione. Ad esempio, con il cracking di una password, si può accedere all’account di un utente, mentre con il cracking di una rete wi-fi non protetta è possibile intercettare tutto il traffico
Come difendersi
La sicurezza dagli attacchi informatici passa da un doppio binario: le buone pratiche che possono essere adottate dai singoli utenti/individui e le strategie di cybersecurity che devono arrivare dalle organizzazioni. Nel primo caso, ad esempio, ci sono alcuni consigli che aiutano a minimizzare il rischio:
- Non installare software sconosciuti o di dubbia provenienza
- Non scaricare file compressi con estensione ZIP, RAR, TAR, GZ
- Non cliccare su link che provengono da fonti sconosciute o sono allegati a messaggi sospetti;
- Prima di aprire un documento Word verificare che l’estensione sia DOCX e diffidare invece delle estensioni DOCM o DOC;
- Prima di aprire file Excel verificare che l’estensione sia XLSX e diffidare al contrario delle estensioni XSLM o XLS;
- Mantenere aggiornati i propri software. Le versioni molto vecchie, infatti, sono più vulnerabili agli attacchi e spesso anche prive dei necessari aggiornamenti di difesa
- Non inserire mai username e password di lavoro in altri siti o, comunque, quando non necessario
Per quanto riguarda invece le strategie di sicurezza delle organizzazioni, l’ANISA, l’Agenzia UE per la sicurezza informatica, ha stilato i dieci principali ambiti di cyber security che le PMI devono assolutamente tenere in considerazione per non cadere vittima degli attacchi informatici:
- Commitment del management: Come prima cosa, è fondamentale che i vertici aziendali comprendano l’importanza della sicurezza informatica per l’organizzazione e siano regolarmente informati.
- Analisi del rischio (Risk Assessment): La valutazione preliminare dello stato di sicurezza in azienda identifica e stabilisce le priorità: quali risorse proteggere prima di altre e da quali minacce?
- Policy di sicurezza informatica: Disporre delle necessarie linee operative per gestire la sicurezza informatica e nominare un Information Security Officer (ISO), responsabile della sicurezza e della supervisione dell’attuazione delle misure di protezione delle reti informative.
- Consapevolezza del rischio: I dipendenti devono comprendere i rischi ed essere formati riguardo ai corretti comportamenti da tenere online. Creare e mantenere viva una cultura del rischio è essenziale per limitare i danni all’impresa, soprattutto in ambito cyber.
- Aggiornamento dei sistemi: Effettuare sempre tutti gli aggiornamenti consigliati in ogni server, workstation, smartphone, magari tramite processi automatizzati e di test.
- Prima di eseguire questi aggiornamenti, è fondamentale disporre di buoni backup. Eseguire spesso il backup dei dati più importanti mette l’azienda al riparo dai costi di ripristino che potrebbero seguire ad un attacco ransomware. Si consiglia di conservare dei backup offline, controllare periodicamente il loro stato e duplicarli per una maggiore sicurezza.
- Gestione degli accessi: Definire regole e politiche per la gestione degli accessi e applicarle. Occorre fare in modo che le password predefinite siano cambiate spesso e che non vengano condivise.
- Protezione endpoint: Proteggere gli endpoint, prima di tutto installando un software antivirus.
- Accesso remoto sicuro: Limitare il più possibile l’accesso da remoto che, come si è visto durante il periodo di lockdown, apre molto più facilmente la strada agli hacker. Dove assolutamente necessario, abilitarlo con le corrette misure di prevenzione del rischio cyber.
- Piano di Recovery: Predisporre un piano dettagliato su come gestire un incidente quando si verifica. Quali scenari potrebbero verificarsi e quali soggetti contattare?
Alcuni attacchi informatici famosi
Ci sono stati tantissimi casi di attacchi informatici avvenuti negli ultimi anni particolarmente significativi, che hanno avuto una robusta eco sui media e non solo.
Probabilmente il più grave Data Breach del 2021, che ha messo in risalto la “debolezza” delle infrastrutture critiche riguarda il Colonial Pipeline (qui la cronaca completa dell’attacco). Il gasdotto, lungo 5.500 miglia, vitale per il funzionamento degli idrocarburi negli USA, è stato colpito lo scorso maggio da un attacco ransomware, che ha causato gravi problemi al funzionamento delle infrastrutture ICT e il blocco stesso della infrastruttura. I cui responsabili, a quanto risulta, è anche scesa a patto con i cybercriminali, pagando il riscatto richiesto.
Poche settimane fa, in Italia, ha fatto scalpore l’attacco alla SIAE, di cui abbiamo parlato in questo articolo, condotto dagli hacker del gruppo Everest, che hanno pubblicato in rete 1,95 gigabyte dei 60 complessivamente sottratti. Poco prima era toccato alla Regione Lazio, vittima di un attacco che ha portato al temporaneo blocco del sistema di prenotazione dei vaccini anti-Covid. Persino Luxottica, azienda italiana leader mondiale nel settore dell’ottica, ha ricevuto un attacco ransomware il 20 settembre, che ha portato alla sottrazione di circa 2GB di dati, soprattutto relativi al mercato sudafricano, probabilmente a causa del ransomware. Nel 2017 l’attacco ransomware Wannacry aveva messo in crisi mezzo mondo, in particolare il National Health Service (NHS) britannico, mettendo fuori uso numerosi ospedali. L’attacco, si scoprì in seguito, era stato favorito dalla diffusione nel settore sanitario di un sistema operativo ormai obsoleto e poco protetto come Windows XP.
